ssh nur für forwarding

[badera]

Ich möchte je nach User die Shell bei SSH-Anmeldung (OpenSSHd) verbieten; so dass nur Port-forwarding ermöglicht wird. Wie krieg ich das hin? Habe leider nichts gefunden...

- Adrian

[stargaizer]

Versuch's doch mal mit einer anderen Loginshell als /bin/bash, bei dem User der nix dürfen soll.

stargaizer

[badera]

hmm, ich muss glatt zugeben, dass ich nicht recht weiss, wie für einen Benutzer eine andere Shell aktivieren. Hat das was mit der Datei .bashrc zu tun, die in dem home-Ordner platziert ist?

Naja, werde mal weiterschauen. Dein Tipp verrät mir immerhin, dass ich nicht weiter bei den SSH-Server Einstellungen suchen muss, sondern bei der Benutzerkonfiguration selber. - Vielen Dank schon mal!
- Adrian

[stargaizer]

Code: Alles auswählen

man usermod

oder mit

Code: Alles auswählen

kuser

wenn's clickie bunti sein soll oder halt direkt

Code: Alles auswählen

vi /etc/passwd

editieren.

[badera]

ah, danke! ich habe mal die rbash eingetragen, und siehe da, man hat nur noch eine eingeschränkte shell.

Damit man *gar nichts* machen kann (also eine noch viel viel eingeschränktere Shell als rbash): muss ich mir da ein eigenes kleines Progrämmchen schreiben, das einfach nur beendet werden kann und einem ausloggt und sonst gar nichts macht? oder gibts da was spezielles dazu?
- Adrian

[Savar]

Code: Alles auswählen

/bin/false

[badera]

ne, das hab ich zuerst auch gedacht. Aber dann wird man gleich rausgeschmissen. Ist ja aber nicht das Ziel, da Port-Forwarding aktiv sein sollte; jedoch einfach ohne Shell.
- Adrian

[Savar]

weiß nicht obs klappt.. aber versuchs doch mit

Code: Alles auswählen

/bin/echo

da kann er toll schreiben und nach dem enter ists vorbei

[badera]

ah, genau, gute Idee, versuch ich gleich!
- Adrian

[badera]

mit

Code: Alles auswählen

/bin/echo

gehts nicht, weil echo einfach gleich beendet wird.

Nun habe ich aber noch eine ganz andere Möglichkeit entdeckt, mein Ziel zu erlangen:
Mit Public-Keys und der Datei

Code: Alles auswählen

$HOME/.ssh/authorized_keys

Dort kann man schön Benutzer-gezielt die Shell ausschalten und sogar angeben, welcher Port an welchen Host forwardet werden darf. Das ist genau das, was ich suchte!!

- Adrian

[stargaizer]

Da fällt mir noch

Code: Alles auswählen

ssh -N ....

ein.

stargaizer

[d4rkm3n]

wo muss ich

Code: Alles auswählen

ssh -N

hinschreiben

[nil]

Ich habe es mal getestet. Mit /bin/false in /etc/passwd und ssh -N funktioniert es ohne Probleme.

Die Frage ist nur:

Der Client, der diesen Tunnel aufbauen will, läuft der unter Windows (putty, MIndterm) oder auch unter Linux. Denn bei Windows habe ich noch keine Lösung.

Sollte er unter Linux laufen der Client, so muss sich der Benutzer mit:

ssh -N -L 1234:zielsystem:5678 benutzer@server

mit

1234: lokaler Port
5678: Zielport

anmelden.

[d4rkm3n]

tja... ich versuche es ja mit einem windows client. aber wenn man die genannten dinge ausprobiert, muss man festellen ,dass die shell sie automatisch schließt
(ich verwende putty)

[nil]

Klar, da /bin/false keine wirkliche Shell ist und wohl putty nicht ohne Shell geht. Naja, Windows ist wohl nicht für SSH gemacht. Auch bei Mindterm habe ich keine Lösung gefunden. Da bleibt dann wohl nur eine normale Restricted-Shell.

[nepos]

Also, Putty selbst geht fuer reine Tunnels nicht, aber ich glaube, da gabs das Tool plink fuer, auch von der Putty Homepage. Kannst dir ja mal http://the.earth.li/~sgtatham/putty/0.5 ... html#plink durchlesen. Eventuell is das, was du suchst

[nil]

Es funktioniert mit plink:

http://the.earth.li/~sgtatham/putty/lat ... /plink.exe


Aufruf: plink -N -L localport:remotesystem:remoteport server

localport: Port auf localhost (z.B. Windows-System)
remotesystem: Zielsystem, gesehen vom Server
remoteport: Remoteport, gesehen vom Server
server: der Linux-Server mit dem Benutzer (/bin/false als Shell)

getestet als plink -N -L 2222:localhost:22 servername